Day5:Linux帐号管理和ACL权限设置

学习笔记

一、Linux的帐号和用户组

1.用户标识符：UID （user）、GID（group）

在linux当中 用户的帐号是有一个与之相对应的UID，linux识别的是UID，而不是帐号，如果将UID改变后，重新登陆是该帐号就无法登陆，因为在linux的表中该帐号对应的UID已经发生了变化。

GID就是所属用户组的id，同上

2.用户帐号

账户的存放目录;/etc/passwd

格式：1帐号名称/2密码/3UID/4GID/5用户信息说明列/6主文件夹/7Shell

密码存放目录：/etc/shadow

格式：1帐号名称/2密码（加密过）/3.最近更动密码的日期/4.密码不可被更动的天数/5.密码需要重新更改的天数/6.密码需要更改期限前的警告天数/7.密码过期后的帐号宽限日期/8.帐号的失效日期/9.保留

另外，当root密码忘记了，可以重起系统进入用户维护模式，修改/etc/shadow

3.有效用户组和初始用户组

有效用户组groups(注意有s);

GID对应组名,记录组名的文件存放目录;/etc/group

格式：1用户组名称/2用户组密码/3GID/4此用户组支持的帐号名称--这就是初始用户组，当该组内的用户登陆系统时，立即获得改组的权限。可以通过usermod对用户组进行设置

有效用户组：通过groups进行查找当前用户的有效用户组

通过newgrp对有效用户组进行切换

二、帐号管理

1对用户的管理和配置：

useradd--新增用户

passwd--修改密码，如果后面不加用户名称，就是修改root密码

usermod--修改用户参数

userdel--删除用户

chage--详细显示用户信息

2.用户功能（供普通用户使用的工具）

finger--查看账户信息（yum install finger）

chfn--修改账户信息

chsh--修改shell

3.对用户组的管理和配置

groupadd--用户组的新增

groupmod--对用户组的修改

groupdel--删除用户组

gpasswd--用户组管理员功能

三、主机的具体权限规划：ACL的使用

1. ACL指传统权限r、w、x之外的权限设置，ACL可以针对单一用户、单一文件或目录来进行rwx权限设置。

2. mount -- 查看文件系统是否支持ACL

如果系统默认不支持acl

#mount -o remount,acl /

#mount

3. ACL的设置技巧

setfacl：设置某个目录/文件的ACL规定

getfacl：取得某个文件/目录的ACL设置项目

3.1 针对特定用户： 设置规定 u:[用户帐号列表]：[rwx]

#setfacl     参数      u:[用户帐号列表]:[rwx]     文件/目录名

#getfacl     文件/目录名

3.2 针对特定用户组：设置规定 g:[用户组列表]:[rwx]

#setfacl     参数      u:[用户组列表]:[rwx]     文件/目录名

#getfacl     文件/目录名

3.3 针对有效权限mask的设置方式：设置规定m:[rwx]

#setfacl      参数       m:[rwx]    文件/目录名

#getfacl      文件/目录名

四、用户身份切换

1. su：

普通用户切换root： su

普通用户/root 切换普通用户： su-用户名

2.sudo：临时使用root权限

通过visudo将该用户/用户组加入/etc/sudoers

五、用户的特殊shell与PAM模块

PAM是一套应用程序编程接口(API),它提供了一连串的验证机制，只要用户将验证阶段的需求告知PAM后，PAM就能够回报用户验证的结果。

1.PAM模块调用流程：

当执行passwd后，这个程序调用PAM的流程是：

用户开始执行/etc/bin/passwd 这支程序，并输入密码；--->passwd调用PAM模块进行验证；--->PAM模块会到/etc/pam.d/中找寻与程序（passwd）同名的配置文件；--->依据/etc/pam.d/passwd 内的设置，引用相关的PAM模块逐步进行验证分析--->将验证结果（成功、失败、其他）回传给passwd这个程序---> passwd这支程序会根据PAM回传的结果决定下一个操作（重新输入新密码或者通过验证！）

2.PAM模块的配置文件

格式：1验证类型（TYPE）/2.验证的控制标志

六、Linux主机上的用户信息传递

1.查询用户：

w/who -- 查询当前已经在系统上登陆的用户

last--列出系统新建后所有的登陆者的信息

lastlog--列出每个帐号最近的登陆时间

2.用户对谈：

write  用户帐号  用户所在的终端端口（通过who可以得到：1.账户名称/2.终端端口/3.时间 ip）

mesg n 设定不接受信息（对root无效）

mesg y 接收

3.用户邮件信箱：mail 对象 参数 内容

七、手动新增用户

1.检查工具：

pwck -- 检查信息

pwconv -- 主要将/etc/passwd 内的帐号密码移动到/etc/shadow中 ---没看懂

pwunconv -- 如pwconv反过来

chpasswd -- 读取未加密前的密码

2.特殊帐号的手工新建

3.批量新建帐号模版--就是写个脚本